Der Hintergrund
Die neue Grundverordnung zum Datenschutz der EU, aus dem Jahre 2018, brachte eine revolutionäre neue Rechtslage zum Thema personenbezogene Daten mit sich. Für den gesamten Binnenmarkt der Europäischen Union gibt es also eine nahezu einheitliche Rechtslage, die wohl die strengste, aber auch fortschrittlichste der Welt ist. Die DSGVO schreibt vor, wie der richtige Umgang mit personenbezogenen Daten auszusehen hat, wobei Verstöße dagegen, von der EU, mit hohen Bußgeldern sanktioniert werden.
Die Einführung der Grundverordnung soll vor allem den EU-Bürgern zugutekommen und den Missbrauch ihrer persönlichen Daten verhindern. So müssen Unternehmen strengste Vorgaben einhalten, um den Vorstellungen des europäischen Gesetzgebers gerecht zu werden. Die DSGVO sagt, wer, wann einen Datenschutzbeauftragen zu ernennen hat, welche Daten besonderer Kategorien angehören, welche Voraussetzungen gegeben sein müssen, um diese Daten zu verarbeiten und so weiter.
Ein wichtiger Aspekt, präventiver Natur, ist die sogenannte Datenschutzfolgenabschätzung. Doch was genau ist das?
Was ist die Datenschutzfolgenabschätzung?
Art. 35 DSGVO trägt den Titel “ Datenschutz-Folgenabschätzung„. Gegliedert ist der Artikel in insgesamt elf Absätze. Abs. 1 S.1 besagt, dass bei der Verarbeitung von personenbezogenen Daten eine Abschätzung der Folgen für den Schutz personenbezogener Daten getätigt werden muss, insofern voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen gegeben ist.
Die DSFA ist eine obligatorische Dokumentation, Beschreibung und Bewertung für bestimmte Prozesse. Die Unternehmen prüfen also Risiken für die Sicherheit der personenbezogenen Daten der Betroffenen und bewerten diese.
Wozu dient das?
Verantwortliche in Unternehmen können und sollen auf Grundlage der DSFA präventiv für die Sicherheit der Rechte der Betroffenen, meist der Kunden, sorgen. Also frühzeitig Maßnahmen treffen, die den Risiken der Verarbeitung zuvorkommen, beziehungsweise, sie zumindest reduzieren. Es dient also dem Datenschutz-Management, womit auch das Datenschutzkonzept daran angepasst werden sollte.
Die Datenschutzfolgenabschätzung ist also eine große Verpflichtung, die ein Unternehmen gegebenenfalls trifft.
Doch wann genau ist dies der Fall?
Für wen gilt die Verpflichtung?
Wann die DSFA vorzunehmen ist, ist ja zumindest abstrakt in Art. 35 Abs. 1 S.1 DSGVO erklärt. Der dritte Absatz behandelt diese Frage unterdessen genauer. Dort sind drei Fälle aufgelistet, in denen die DSFA „insbesondere“ erforderlich ist:
-„systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen, die sich auf automatisierte Verarbeitung einschließlich Profiling gründet und die ihrerseits als Grundlage für Entscheidungen dient, die Rechtswirkung gegenüber natürlichen Personen entfalten oder diese in ähnlicher Weise beeinträchtigen;
-umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten gemäß Artikel 9 Absatz 1 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 oder
-systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche.“
Nach Abs. 4 ist die Aufsichtsbehörde zudem bemächtigt, eine Liste der Fälle zu erstellen und zu veröffentlichen, in denen eine DSFA notwendig ist. Eine solche existiert von den Aufsichtsbehörden der Bundesländer, jedoch gibt es auch eine einheitliche, von der Datenschutzkonferenz erstellte, Liste. Dort finden sich Voraussetzungen, unter denen, auf jeden Fall, eine DSFA vorzunehmen ist.
Die Frage danach, wann eine Datenschutzfolgenabschätzung vorzunehmen ist, ist also Einzelfall-bezogen, wobei es aufgrund der Rechtslage und Rechtsprechung fast immer klar ist, wann ein Unternehmen dazu verpflichtet ist. Es kann sich also im Falle einer Sanktion kaum auf eine unsichere Rechtslage berufen werden.
Wie hat die DSFA auszusehen?
Die DSFA ist also eine Dokumentation, Aus- und Bewertung von Prozessen, bei denen personenbezogene Daten verarbeitet werden. In Art. 35 Abs. 7 DSGVO sind vier Vorgaben enthalten, die mindestens in der Abschätzung vorkommen müssen.
Zunächst muss eine systematische Beschreibung der Verarbeitungen, sowie die Zwecke der Verarbeitung enthalten sein. Hinzukommt, dass die Interessen der Verantwortlichen genannt werden sollten.
Da auch das Datenschutzrecht dem Verhältnismäßigkeitsprinzip nicht widersprechen darf, müssen die Verarbeitungsvorgänge auch diesem in Bezug zu dem Zweck gerecht werden und damit auch ihre Notwendigkeit erklärt werden.
Die DSFA muss, wie bereits erwähnt, auch eine Bewertung der Verantwortlichen, zu Risiken für Rechte und Freiheiten der Betroffenen, enthalten.
Zu guter Letzt setzt die DSGVO voraus, dass alle Maßnahmen, dazu gehören auch Garantien, Sicherheitsvorkehrungen und Verfahren, umfangreich aufgelistet werden und diese nachweisbar sind und bestmöglich für die Einhaltung der Europäischen Datenschutzgrundverordnung sorgen. Besonderes Augenmerk gilt dabei eben dem häufig genannten Schutz der Rechte und Interessen der Betroffenen.
Fazit
Die DSFA gibt es seit 2018, dem Inkrafttreten der DSGVO. Sie löste die zuvor existierende Vorabkontrolle ab. Sie dient der Sicherheitsprävention und dem Schutz von personenbezogenen Daten und damit dem Schutz der Persönlichkeitsrechte von EU-Bürgern. Wann eine DSFA durchgeführt werden muss, unterliegt dem Einzelfall, jedoch gilt es allgemein dann, wenn ein hohes Risiko für den Schutz der Daten der Betroffenen, durch Verarbeitungsprozesse vorliegt.
Rechtsprechung, die DSGVO und zuständige Behörden geben dabei bestimmte Fälle vor, in denen auf keinen Fall auf die Durchführung der Abschätzung zu verzichten ist. Die Gesamtrechtslage ist also eindeutig. Die DSGVO gibt auch vor, was mindestens in der DSFA enthalten sein muss, damit bekommen die Unternehmen eine sehr gute Gesamtvorstellung davon, wie eine DSFA auszusehen hat. In der Praxis werden jedoch meist externe Datenschutzbeauftragte herangezogen, die sich um alle Fragen des Datenschutzes, inklusive Datenschutzfolgenabschätzung, kümmern. Dies ist auch empfehlenswert, da man sowohl die Verantwortung für ein schwieriges Thema als auch einen hohen zeitlichen Aufwand auf einen, dafür ausgebildeten, Fachmann überträgt.
Die Komplexität, die die DSGVO mit sich bringt, ist nicht zu unterschätzen.
Die Immerce GmbH ist Ihre/eine Internet Agentur im Allgäu und programmiert seit über 10 Jahren leistungsstarke Webshops auf Magento und Shopware Basis und betreibt für Ihre Kunden Suchmaschinenoptimierung. Seit 2018 mit der Einführung der DSGVO betreut die Immerce GmbH Ihre Kunden erfolgreich in Datenschutz & IT-Sicherheit mit TÜV geprüften Datenschutzauditoren und Informationssicherheitsbeauftragten nach ISO 27001.
Firmenkontakt
Immerce GmbH
Frank Müns
Kemptener Straße 9
87509 Immenstadt
+49 (0) 8323 – 209 99 40
info@immerce.de
https://www.immerce-consulting.de/
Pressekontakt
Immerce GmbH
Carvin Müns
Kemptener Straße 9
87509 Immenstadt
+49 (0)8323 – 209 99 40
carvin.muens@immerce.de
https://www.immerce-consulting.de/
Die Bildrechte liegen bei dem Verfasser der Mitteilung.